Spostare un insieme di credenziali di Servizi di ripristino tra sottoscrizioni e gruppi di risorse di Azure

Questo articolo illustra come spostare un insieme di credenziali di Servizi di ripristino configurato per Backup di Azure tra sottoscrizioni di Azure o in un altro gruppo di risorse nella stessa sottoscrizione. È possibile usare il portale di Azure o PowerShell per spostare un insieme di credenziali di Servizi di ripristino.

Aree geografiche supportate

Tutte le aree pubbliche e le aree sovrane sono supportate, ad eccezione della Francia meridionale, della Francia centrale, della Germania nord-orientale e della Germania centrale.

Prerequisiti per lo spostamento dell'insieme di credenziali di Servizi di ripristino

  • Durante lo spostamento dell'insieme di credenziali tra gruppi di risorse, i gruppi di risorse di origine e di destinazione vengono bloccati impedendo le operazioni di scrittura ed eliminazione. Per altre informazioni, vedi questo articolo.
  • Solo la sottoscrizione amministratore ha le autorizzazioni per spostare un insieme di credenziali.
  • Per lo spostamento di insiemi di credenziali tra sottoscrizioni, la sottoscrizione di destinazione deve trovarsi nello stesso tenant della sottoscrizione di origine e il relativo stato deve essere abilitato. Per spostare un insieme di credenziali in un ID Microsoft Entra diverso, vedere Trasferire una sottoscrizione a una directory diversa e domande frequenti su Insieme di credenziali di Servizi di ripristino.
  • È necessario avere l'autorizzazione per eseguire operazioni di scrittura sul gruppo di risorse di destinazione.
  • Lo spostamento dell'insieme di credenziali modifica solo il gruppo di risorse. L'insieme di credenziali di Servizi di ripristino si troverà nella stessa posizione e non può essere modificato.
  • È possibile spostare un solo insieme di credenziali di Servizi di ripristino, per area, alla volta.
  • Se una macchina virtuale non viene spostata con l'insieme di credenziali di Servizi di ripristino tra sottoscrizioni o in un nuovo gruppo di risorse, i punti di ripristino della macchina virtuale correnti rimarranno intatti nell'insieme di credenziali fino alla scadenza.
  • Sia che macchina virtuale venga spostata nell'insieme di credenziali o meno, è sempre possibile ripristinare la macchina virtuale dalla cronologia di backup conservata nell'insieme di credenziali.
  • Il Crittografia dischi di Azure richiede che l'insieme di credenziali delle chiavi e le macchine virtuali si trovino nella stessa area e nella stessa sottoscrizione di Azure.
  • Per spostare una macchina virtuale con dischi gestiti, vedere questo articolo.
  • Le opzioni per lo spostamento delle risorse distribuite tramite il modello classico variano a seconda che si sposti le risorse all'interno di una sottoscrizione o in una nuova sottoscrizione. Per altre informazioni, vedi questo articolo.
  • I criteri di backup definiti per l'insieme di credenziali vengono conservati dopo che l'insieme di credenziali viene spostato tra le sottoscrizioni o in un nuovo gruppo di risorse.
  • È possibile spostare un insieme di credenziali contenente solo uno dei tipi di elementi di backup seguenti. Tutti gli elementi di backup di tipi non elencati di seguito dovranno essere arrestati e i dati eliminati definitivamente prima di spostare l'insieme di credenziali.
    • Macchine virtuali di Azure
    • Agente servizi di ripristino di Microsoft Azure
    • Server di Backup di Microsoft Azure (MABS)
    • Data Protection Manager (DPM)
  • Se si sposta un insieme di credenziali contenente i dati di backup delle macchine virtuali, tra sottoscrizioni, è necessario spostare le macchine virtuali nella stessa sottoscrizione e usare lo stesso nome del gruppo di risorse della macchina virtuale di destinazione (come nella sottoscrizione precedente) per continuare i backup.

Nota

Lo spostamento di insiemi di credenziali di Servizi di ripristino per Backup di Azure tra aree di Azure non è supportato.

Se sono state configurate macchine virtuali (Azure IaaS, Hyper-V, VMware) o computer fisici per il ripristino di emergenza con Azure Site Recovery, l'operazione di spostamento verrà bloccata. Per spostare gli insiemi di credenziali per Azure Site Recovery, vedere questo articolo per informazioni sullo spostamento manuale degli insiemi di credenziali.

Usare portale di Azure per spostare l'insieme di credenziali di Servizi di ripristino in un gruppo di risorse diverso

Per spostare un insieme di credenziali di Servizi di ripristino e le risorse associate in un gruppo di risorse diverso:

  1. Accedere al portale di Azure.

  2. Aprire l'elenco Insiemi di credenziali dei servizi di ripristino e selezionare l'insieme di credenziali che si vuole spostare. Quando il dashboard dell'insieme di credenziali viene aperto, viene visualizzato come illustrato nell'immagine seguente.

    Open Recovery Services Vault

    Se le informazioni di base per l'insieme di credenziali non sono visualizzate, selezionare l'icona a discesa. Le informazioni di base dovrebbero ora essere visualizzate.

    Essentials Information tab

  3. Nel menu di panoramica dell'insieme di credenziali selezionare Cambia accanto al gruppo di risorse per aprire il riquadro Sposta risorse.

    Change Resource Group

  4. Nel riquadro Sposta risorse per l'insieme di credenziali selezionato è consigliabile spostare le risorse correlate facoltative selezionando la casella di controllo come illustrato nell'immagine seguente.

    Move Subscription

  5. Per aggiungere il gruppo di risorse di destinazione, nell'elenco a discesa Gruppo di risorse selezionare un gruppo di risorse esistente o selezionare l'opzione Crea un nuovo gruppo .

    Create Resource

  6. Dopo aver aggiunto il gruppo di risorse, verificare che gli strumenti e gli script associati alle risorse spostate non funzionino fino a quando non li aggiorno per usare la nuova opzione ID risorsa e quindi selezionare OK per completare lo spostamento dell'insieme di credenziali.

    Confirmation Message

Usare portale di Azure per spostare l'insieme di credenziali di Servizi di ripristino in una sottoscrizione diversa

È possibile spostare un insieme di credenziali di Servizi di ripristino e le risorse associate in una sottoscrizione diversa

  1. Accedere al portale di Azure.

  2. Aprire l'elenco Insiemi di credenziali dei servizi di ripristino e selezionare l'insieme di credenziali che si vuole spostare. Quando il dashboard dell'insieme di credenziali viene aperto, viene visualizzato come illustrato nell'immagine seguente.

    Open Recovery Services Vault

    Se le informazioni di base per l'insieme di credenziali non sono visualizzate, selezionare l'icona a discesa. Le informazioni di base dovrebbero ora essere visualizzate.

    Essentials Information tab

  3. Nel menu di panoramica dell'insieme di credenziali selezionare Cambia accanto a Sottoscrizione per aprire il riquadro Sposta risorse.

    Change Subscription

  4. Selezionare le risorse da spostare. In questo caso, è consigliabile usare l'opzione Seleziona tutto per selezionare tutte le risorse facoltative elencate.

    move resource

  5. Dall'elenco a discesa Sottoscrizione selezionare la sottoscrizione di destinazione in cui si vuole spostare l'insieme di credenziali.

  6. Per aggiungere il gruppo di risorse di destinazione, nell'elenco a discesa Gruppo di risorse selezionare un gruppo di risorse esistente o selezionare l'opzione Crea un nuovo gruppo .

    Add Subscription

  7. Selezionare I understand that tools and scripts associated with moved resources will not work until I update them to use new resource ID option to confirm, and then select OK.

Nota

Il backup tra sottoscrizioni (l'insieme di credenziali RS e le macchine virtuali protette si trovano in sottoscrizioni diverse) non è uno scenario supportato. Inoltre, l'opzione di ridondanza dell'archiviazione dall'archiviazione con ridondanza locale all'archiviazione con ridondanza globale (GRS) e viceversa non può essere modificata durante l'operazione di spostamento dell'insieme di credenziali.

Usare portale di Azure per eseguire il backup delle risorse nell'insieme di credenziali di Servizi di ripristino dopo lo spostamento tra aree

Azure Resource Mover supporta lo spostamento di più risorse tra aree. Durante lo spostamento delle risorse da un'area a un'altra, è possibile assicurarsi che le risorse rimangano protette. Poiché Backup di Azure supporta la protezione di diversi carichi di lavoro, potrebbe essere necessario eseguire alcuni passaggi per continuare a disporre dello stesso livello di protezione nella nuova area.

Per comprendere i passaggi dettagliati per ottenere questo risultato, vedere le sezioni seguenti.

Nota

  • Backup di Azure attualmente non supporta lo spostamento dei dati di backup da un insieme di credenziali di Servizi di ripristino a un altro. Per proteggere la risorsa nella nuova area, la risorsa deve essere registrata e sottoposta a backup in un insieme di credenziali nuovo/esistente nella nuova area. Quando si spostano le risorse da un'area a un'altra, i dati di backup negli insiemi di credenziali di Servizi di ripristino esistenti nell'area precedente possono essere conservati/eliminati in base alle esigenze. Se si sceglie di conservare i dati negli insiemi di credenziali precedenti, verranno addebitati i costi di backup di conseguenza.
  • Dopo lo spostamento delle risorse, per garantire la sicurezza continua per le risorse di cui è stato eseguito il backup in un insieme di credenziali configurato con l'autorizzazione multiutente, l'insieme di credenziali di destinazione deve essere configurato con MUA usando Resource Guard nell'area di destinazione. Ciò è dovuto al fatto che Resource Guard e l'insieme di credenziali devono trovarsi nella stessa area; Di conseguenza, Resource Guard per l'insieme di credenziali di origine non può essere usato per abilitare MUA nell'insieme di credenziali di destinazione.

Eseguire il backup della macchina virtuale di Azure dopo lo spostamento tra aree

Quando una macchina virtuale di Azure protetta da un insieme di credenziali di Servizi di ripristino viene spostata da un'area a un'altra, non è più possibile eseguirne il backup nell'insieme di credenziali precedente. I backup nell'insieme di credenziali precedente inizieranno a non riuscire con gli errori BCMV2VMNotFound o ResourceNotFound. Per informazioni su come proteggere le macchine virtuali nella nuova area, vedere le sezioni seguenti.

Preparare lo spostamento di macchine virtuali di Azure

Prima di spostare una macchina virtuale, verificare che siano soddisfatti i prerequisiti seguenti:

  1. Vedere i prerequisiti associati allo spostamento di macchine virtuali e assicurarsi che la macchina virtuale sia idonea per lo spostamento.
  2. Selezionare la macchina virtuale nella scheda Elementi di backup del dashboard dell'insieme di credenziali esistente e selezionare Arresta protezione seguita da conservare/eliminare i dati in base alle esigenze. Quando i dati di backup per una macchina virtuale vengono arrestati con conservazione dei dati, i punti di ripristino rimangono per sempre e non rispettano alcun criterio. In questo modo si garantisce che i dati di backup siano sempre pronti per il ripristino.

    Nota

    La conservazione dei dati nell'insieme di credenziali precedente comporta addebiti per il backup. Se non si desidera più conservare i dati per evitare la fatturazione, è necessario eliminare i dati di backup conservati usando l'opzione Elimina dati.

  3. Assicurarsi che le macchine virtuali siano attivate. Tutti i dischi delle macchine virtuali che devono essere disponibili nell'area di destinazione vengono collegati e inizializzati nelle macchine virtuali.
  4. Assicurarsi che le macchine virtuali abbiano i certificati radice attendibili più recenti e un elenco di revoche di certificati (CRL) aggiornato. A tale scopo:
    • Nelle macchine virtuali Windows installare gli ultimi aggiornamenti di Windows.
    • Nelle macchine virtuali Linux fare riferimento alle indicazioni sul server di distribuzione per assicurarsi che i computer abbiano i certificati più recenti e CRL.
  5. Consentire la connettività in uscita dalle macchine virtuali:
    • Se si usa un proxy firewall basato su URL per controllare la connettività in uscita, consentire l'accesso a questi URL.
    • Se si usano le regole del gruppo di sicurezza di rete per controllare la connettività in uscita, creare queste regole del tag di servizio.

Spostare macchine virtuali di Azure

Spostare la macchina virtuale nella nuova area usando Azure Resource Mover.

Proteggere le macchine virtuali di Azure usando Backup di Azure

Iniziare a proteggere la macchina virtuale in un insieme di credenziali di Servizi di ripristino nuovo o esistente nella nuova area. Quando è necessario eseguire il ripristino dai backup precedenti, è comunque possibile farlo dall'insieme di credenziali di Servizi di ripristino precedente se si è scelto di conservare i dati di backup.

I passaggi precedenti devono essere utili per assicurarsi che anche il backup delle risorse venga eseguito nella nuova area.

Eseguire il backup di Condivisione file di Azure dopo lo spostamento tra aree

Backup di Azure offre oggi una soluzione di gestione degli snapshot per i File di Azure. Ciò significa che non si spostano i dati della condivisione file negli insiemi di credenziali di Servizi di ripristino. Inoltre, poiché gli snapshot non vengono spostati con l'account Archiviazione, tutti i backup (snapshot) saranno effettivamente disponibili solo nell'area esistente e protetti dall'insieme di credenziali esistente. Tuttavia, per spostare gli account Archiviazione insieme alle condivisioni file tra aree o creare nuove condivisioni file nella nuova area, vedere le sezioni seguenti per assicurarsi che siano protette da Backup di Azure.

Preparare lo spostamento di condivisione file di Azure

Prima di spostare l'account Archiviazione, verificare che siano soddisfatti i prerequisiti seguenti:

  1. Vedere i prerequisiti per spostare Archiviazione Account.
  2. Esportare e modificare un modello di spostamento risorse. Per altre informazioni, vedere Preparare Archiviazione Account per lo spostamento dell'area.

Spostare condivisione file di Azure

Per spostare gli account Archiviazione insieme alle condivisioni file di Azure da un'area a un'altra, vedere Spostare un account Archiviazione di Azure in un'altra area.

Nota

Quando condivisione file di Azure viene copiata tra aree, gli snapshot associati non vengono spostati insieme. Per spostare i dati degli snapshot nella nuova area, è necessario spostare i singoli file e directory degli snapshot nell'account Archiviazione nella nuova area usando AzCopy.

Proteggere la condivisione file di Azure usando Backup di Azure

Iniziare a proteggere la condivisione file di Azure copiata nel nuovo account Archiviazione in un insieme di credenziali di Servizi di ripristino nuovo o esistente nella nuova area.

Dopo aver copiato la condivisione file di Azure nella nuova area, è possibile scegliere di arrestare la protezione e conservare/eliminare gli snapshot (e i punti di ripristino corrispondenti) della condivisione file di Azure originale in base alle esigenze. A tale scopo, selezionare la condivisione file nella scheda Elementi di backup del dashboard dell'insieme di credenziali originale. Quando i dati di backup per condivisione file di Azure vengono arrestati con la conservazione dei dati, i punti di ripristino rimangono per sempre e non rispettano alcun criterio.

Ciò garantisce che gli snapshot siano sempre pronti per il ripristino dall'insieme di credenziali precedente.

Eseguire il backup di SQL Server/SAP HANA nella macchina virtuale di Azure dopo lo spostamento tra aree

Quando si sposta una macchina virtuale che esegue server SQL o SAP HANA in un'altra area, non è più possibile eseguire il backup dei database SQL e SAP HANA in tali macchine virtuali nell'insieme di credenziali dell'area precedente. Per proteggere i server SQL e SAP HANA in esecuzione nella macchina virtuale di Azure nella nuova area, vedere le sezioni seguenti.

Preparare lo spostamento di SQL Server/SAP HANA nella macchina virtuale di Azure

Prima di spostare SQL Server/SAP HANA in esecuzione in una macchina virtuale in una nuova area, verificare che siano soddisfatti i prerequisiti seguenti:

  1. Vedere i prerequisiti associati allo spostamento di macchine virtuali e assicurarsi che la macchina virtuale sia idonea per lo spostamento.
  2. Selezionare la macchina virtuale nella scheda Elementi di backup del dashboard dell'insieme di credenziali esistente e selezionare i database per cui è necessario arrestare il backup. Selezionare Arresta protezione seguito da mantieni/elimina i dati in base alle esigenze. Quando i dati di backup vengono arrestati con conservazione dei dati, i punti di ripristino rimangono per sempre e non rispettano alcun criterio. In questo modo si garantisce che i dati di backup siano sempre pronti per il ripristino.

    Nota

    La conservazione dei dati nell'insieme di credenziali precedente comporta addebiti per il backup. Se non si desidera più conservare i dati per evitare la fatturazione, è necessario eliminare i dati di backup conservati usando l'opzione Elimina dati.

  3. Assicurarsi che le macchine virtuali da spostare siano attivate. Tutti i dischi delle macchine virtuali che devono essere disponibili nell'area di destinazione vengono collegati e inizializzati nelle macchine virtuali.
  4. Assicurarsi che le macchine virtuali abbiano i certificati radice attendibili più recenti e un elenco di revoche di certificati (CRL) aggiornato. A tale scopo:
    • Nelle macchine virtuali Windows installare gli ultimi aggiornamenti di Windows.
    • Nelle macchine virtuali Linux fare riferimento alle indicazioni sul server di distribuzione e assicurarsi che i computer abbiano i certificati più recenti e CRL.
  5. Consentire la connettività in uscita dalle macchine virtuali:
    • Se si usa un proxy firewall basato su URL per controllare la connettività in uscita, consentire l'accesso a questi URL.
    • Se si usano le regole del gruppo di sicurezza di rete per controllare la connettività in uscita, creare queste regole del tag di servizio.

Spostare SQL Server/SAP HANA nella macchina virtuale di Azure

Spostare la macchina virtuale nella nuova area usando Azure Resource Mover.

Proteggere SQL Server/SAP HANA nella macchina virtuale di Azure usando Backup di Azure

Iniziare a proteggere la macchina virtuale in un insieme di credenziali di Servizi di ripristino nuovo/esistente nella nuova area. Quando è necessario eseguire il ripristino dai backup precedenti, è comunque possibile farlo dall'insieme di credenziali di Servizi di ripristino precedente.

I passaggi precedenti devono essere utili per assicurarsi che anche il backup delle risorse venga eseguito nella nuova area.

Usare PowerShell per spostare l'insieme di credenziali di Servizi di ripristino

Per spostare un insieme di credenziali di Servizi di ripristino in un altro gruppo di risorse, usare il cmdlet Move-AzureRMResource. Move-AzureRMResource richiede il nome e il tipo della risorsa. È possibile ottenerli entrambi dal cmdlet Get-AzureRmRecoveryServicesVault.

$destinationRG = "<destinationResourceGroupName>"
$vault = Get-AzureRmRecoveryServicesVault -Name <vaultname> -ResourceGroupName <vaultRGname>
Move-AzureRmResource -DestinationResourceGroupName $destinationRG -ResourceId $vault.ID

Per spostare le risorse in una diversa sottoscrizione, includere il parametro -DestinationSubscriptionId.

Move-AzureRmResource -DestinationSubscriptionId "<destinationSubscriptionID>" -DestinationResourceGroupName $destinationRG -ResourceId $vault.ID

Dopo aver eseguito i cmdlet precedenti, verrà chiesto di confermare che si vogliono spostare le risorse specificate. Digitare Y per confermare. Dopo la convalida, la risorsa viene spostata.

Usare l'interfaccia della riga di comando per spostare l'insieme di credenziali di Servizi di ripristino

Per spostare un insieme di credenziali di Servizi di ripristino in un altro gruppo di risorse, usare il cmdlet seguente:

az resource move --destination-group <destinationResourceGroupName> --ids <VaultResourceID>

Per spostare in una nuova sottoscrizione, inserire il parametro --destination-subscription-id.

Dopo la migrazione

  1. Impostare/verificare i controlli di accesso per i gruppi di risorse.
  2. Al termine dello spostamento, è necessario configurare di nuovo la funzionalità di creazione di report e monitoraggio del backup per l'insieme di credenziali. La configurazione precedente andrà persa durante l'operazione di spostamento.

Spostare una macchina virtuale di Azure in un insieme di credenziali del servizio di ripristino diverso.

Se si vuole spostare una macchina virtuale di Azure con backup abilitato, sono disponibili due opzioni. Dipendono dai requisiti aziendali:

Non è necessario conservare i dati di cui è stato eseguito il backup precedente

Per proteggere i carichi di lavoro in un nuovo insieme di credenziali, è necessario eliminare nuovamente la protezione e i dati correnti nell'insieme di credenziali precedente e il backup.

Avviso

L'operazione seguente è distruttiva e non può essere annullata. Tutti i dati di backup e gli elementi di backup associati al server protetto verranno eliminati definitivamente. Procedere con cautela.

Arrestare ed eliminare la protezione corrente nell'insieme di credenziali precedente:

  1. Disabilitare l'eliminazione temporanea nelle proprietà dell'insieme di credenziali. Seguire questa procedura per disabilitare l'eliminazione temporanea.

  2. Arrestare la protezione ed eliminare i backup dall'insieme di credenziali corrente. Nel menu Del dashboard dell'insieme di credenziali selezionare Elementi di backup. Gli elementi elencati qui che devono essere spostati nel nuovo insieme di credenziali devono essere rimossi insieme ai dati di backup. Vedere come eliminare elementi protetti nel cloud ed eliminare elementi protetti in locale.

  3. Se si prevede di spostare AFS (condivisioni file di Azure), i server SQL o i server SAP HANA, sarà necessario annullarne la registrazione. Nel menu del dashboard dell'insieme di credenziali selezionare Infrastruttura di backup. Vedere come annullare la registrazione di SQL Server, annullare la registrazione di un account di archiviazione associato alle condivisioni file di Azure e annullare la registrazione di un'istanza di SAP HANA.

  4. Dopo aver rimosso l'insieme di credenziali precedente, continuare a configurare i backup per il carico di lavoro nel nuovo insieme di credenziali.

È necessario conservare i dati di cui in precedenza è stato eseguito il backup

Se è necessario mantenere i dati protetti correnti nell'insieme di credenziali precedente e continuare la protezione in un nuovo insieme di credenziali, sono disponibili opzioni limitate per alcuni dei carichi di lavoro:

  • Per MARS, è possibile arrestare la protezione con conservare i dati e registrare l'agente nel nuovo insieme di credenziali.

    • Backup di Azure servizio continuerà a mantenere tutti i punti di ripristino esistenti dell'insieme di credenziali precedente.
    • Sarà necessario pagare per mantenere i punti di ripristino nell'insieme di credenziali precedente.
    • Sarà possibile ripristinare i dati di cui è stato eseguito il backup solo per i punti di ripristino non scaduti nell'insieme di credenziali precedente.
    • Sarà necessario creare una nuova replica iniziale dei dati nel nuovo insieme di credenziali.
  • Per una macchina virtuale di Azure, è possibile arrestare la protezione con conservare i dati per la macchina virtuale nell'insieme di credenziali precedente, spostare la macchina virtuale in un altro gruppo di risorse e quindi proteggere la macchina virtuale nel nuovo insieme di credenziali. Vedere indicazioni e limitazioni per lo spostamento di una macchina virtuale in un altro gruppo di risorse.

    Una macchina virtuale può essere protetta in un solo insieme di credenziali alla volta. Tuttavia, la macchina virtuale nel nuovo gruppo di risorse può essere protetta nel nuovo insieme di credenziali perché è considerata una macchina virtuale diversa.

    • Backup di Azure servizio manterrà i punti di ripristino di cui è stato eseguito il backup nell'insieme di credenziali precedente.
    • È necessario pagare per mantenere i punti di ripristino nell'insieme di credenziali precedente (vedere Backup di Azure prezzi per informazioni dettagliate).
    • Sarà possibile ripristinare la macchina virtuale, se necessario, dall'insieme di credenziali precedente.
    • Il primo backup nel nuovo insieme di credenziali della macchina virtuale nella nuova risorsa sarà una replica iniziale.

Passaggi successivi

È possibile spostare molti tipi diversi di risorse tra gruppi di risorse e sottoscrizioni.

Per altre informazioni, vedere Spostare le risorse in un gruppo di risorse o una sottoscrizione nuovi.